Veritas NetBackup™ Appliance 安全指南
KMS 支持
NetBackup Appliance 支持 NetBackup 密钥管理服务 (KMS)(与 NetBackup Enterprise Server 7.1 集成)管理的加密。主服务器和介质服务器设备支持 KMS。在设备主服务器上恢复 KMS 的唯一一种受支持的方法是重新生成数据加密密钥。
以下内容介绍了 KMS 密钥功能:
无需额外的许可证。
是基于主服务器的对称密钥管理服务。
可以作为主服务器进行管理,并将磁带设备与之连接或与另一个 NetBackup Appliance 连接。
按照 T10 标准(例如 LTO4 或 LTO5)管理磁带驱动器的对称密码密钥。
设计为使用基于卷池的磁带加密。
可用于具有内置硬件加密功能的磁带硬件。
可由 NetBackup CLI 管理员使用 NetBackup Appliance 命令行操作界面或 KMS 命令行界面 (CLI) 进行管理。
KMS 将从密码生成密钥或自动生成密钥。表:KMS 文件列出了包含密钥相关信息的关联 KMS 文件。
表:KMS 文件
|
KMS 文件 |
描述 |
|---|---|
|
Keystore 文件 |
keystore 文件 ( |
|
KPK 文件 |
KPK 文件 ( |
|
HMK 文件 |
HMK 文件 ( |
要在设备主服务器上配置 KMS,必须以 NetBackupCLI 用户身份登录。
在继续之前,请确保为 NetBackupCLI 用户分配了配置和启用 KMS 所需的 RBAC 权限。使用 NetBackup 管理员帐户(如 nbasecadmin)登录到 NetBackup Web UI,并将“默认安全管理员”角色分配给 NetBackupCLI 用户。
有关管理基于角色的访问控制的步骤,请参见《NetBackup Web UI 管理指南》。
注意:
如果需要,您可以创建一个新的 NetBackupCLI 用户来配置和启用 KMS。有关 NetBackupCLI 用户的更多信息,请参见关于 NetBackupCLI 用户角色。
以下内容介绍了如何在设备上配置并启用 KMS。
在设备上配置并启用 KMS
- 以 NetBackupCLI 用户身份登录设备主服务器。
- 使用如下所示的 Command 命令进入受限 Shell 环境:
[nb-appliance.NBCLIUSER>]# Command
- 使用以下步骤对 CLI 访问进行身份验证:
通过运行以下命令生成访问代码:
#bpnbat -login -logintype webui -requestApproval
记下命令窗口中显示的访问代码。
以 NetBackup 命令行 (CLI) 管理员用户身份登录 NetBackup Web UI,并通过输入先前生成的访问代码来批准 CLI 访问请求。
请求获得批准后,您将在受限 Shell 命令窗口中看到一条确认消息。
有关访问密钥和批准请求的更多信息,请参考《NetBackup 安全和加密指南》。
- 使用 nbkms 命令创建空数据库,如下所示:
[nbucliuser-!>]# nbkms -createemptydb
- 启动 nbkms。例如:
[nbucliuser-!>]# nbkms
- 创建密钥组。例如:
[nbucliuser-!>]# nbkmsutil -createkg -kgname KMSKeyGroupName
- 创建活动密钥。例如:
[nbucliuser-!>]# nbkmsutil -createkey -kgname KMSKeyGroupName -keyname KMS KeyName
验证是否已在主服务器上配置并运行 KMS。然后,可在与主服务器关联的所有介质服务器上为 MSDP 启用 KMS 加密。
在继续之前,请确保为 NetBackupCLI 用户分配了配置和启用 KMS 所需的 RBAC 权限。使用 NetBackup 管理员帐户(如 nbasecadmin)登录到 NetBackup Web UI,并将“默认安全管理员”角色分配给 NetBackupCLI 用户。
有关如何管理基于角色的访问控制的步骤,请参见《NetBackup Web UI 管理指南》。
注意:
如果需要,您可以创建一个新的 NetBackupCLI 用户来配置和启用 KMS。有关 NetBackupCLI 用户的更多信息,请参见关于 NetBackupCLI 用户角色。
以下内容介绍了如何在设备上为 MSDP 启用 KMS 加密。
为 MSDP 启用 KMS 加密
- 以 NetBackupCLI 用户身份登录设备介质服务器。
- 按照所示顺序更改以下选项:
nbucliuser-!> pdcfg --write=/msdp/data/dp1/pdvol/etc/puredisk/contentrouter.cfg --section=KMSOptions --option=KMSType --value=0
nbucliuser-!> pdcfg --write=/msdp/data/dp1/pdvol/etc/puredisk/contentrouter.cfg --section=KMSOptions --option=KMSServerName --value=<primary server hostname
nbucliuser-!> pdcfg --write=/msdp/data/dp1/pdvol/etc/puredisk/contentrouter.cfg --section=KMSOptions --option=KMSKeyGroupName --value=msdp
nbucliuser-!> pdcfg --write=/msdp/data/dp1/pdvol/etc/puredisk/contentrouter.cfg --section=KMSOptions --option=KeyName --value=<KMS KeyName>
nbucliuser-!> pdcfg --write=/msdp/data/dp1/pdvol/etc/puredisk/contentrouter.cfg --section=KMSOptions --option=KMSEnable --value=true
nbucliuser-!> pdcfg --write= /msdp/data/dp1/pdvol/etc/puredisk/contentrouter.cfg --section=ContentRouter --option=ServerOptions --value=verify_so_references,fast,encrypt
在与主服务器关联的所有介质服务器上重复执行此步骤。
- 通过登录到 NetBackup Web 应用程序在系统中提供身份信息。运行以下命令:
sudo /usr/openv/netbackup/bin/bpnbat -login -loginType WEB
Authentication Broker: ApplianceHostname
Authentication Port: 0
Authentication Type: unixpwd
LoginName: Username
Password: Password
- 确保已向 NetBackup Web 服务注册 KMS。
sudo /usr/openv/netbackup/bin/nbkmscmd -discoverNbkms
- 使用以下命令停止并重新启动 NetBackup 服务:
bp.kill_all
bp.start_all
- 要验证是否在介质服务器上为 MSDP 启用了 KMS 加密,请在服务器上运行备份作业,然后运行以下命令:
crcontrol --getmode